Aplicando a revisão de dependência em uma organização

A revisão de dependências permite que você detecte dependências inseguras antes de introduzi-las em seu ambiente. Você pode impor o uso do ação de revisão de dependência em toda a sua organização.

Quem pode usar esse recurso?

Organization owners can enforce use of the ação de revisão de dependência in repositories within their organization.

A análise de dependência está disponível para repositórios pertencentes à organização no GitHub Enterprise Server. Esse recurso exige uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

Neste artigo

Sobre a aplicação da revisão de dependência

Proprietários de empresas e pessoas com acesso de administrador a um repositório podem adicionar o ação de revisão de dependência à empresa e ao repositório, respectivamente.

Você pode usar dependency-review-action no seu repositório para impor revisões de dependência nas pull requests. A ação examina versões vulneráveis de dependências introduzidas por alterações de versão do pacote em solicitações de pull e avisa você sobre as vulnerabilidades de segurança associadas. Isso oferece uma melhor visibilidade do que está mudando em uma solicitação de pull e ajuda a evitar que vulnerabilidades sejam adicionadas ao repositório. Para obter mais informações, consulte "Sobre a análise de dependência".

Você pode impor o uso do ação de revisão de dependência em sua organização configurando um conjunto de regras de repositório que exigirá que o fluxo de trabalho dependency-review-action seja aprovado antes que as pull requests possam ser mescladas. Os conjuntos de regras do repositório são configurações de regras que permitem controlar como os usuários podem interagir com branches e tags selecionados em seus repositórios. Para obter mais informações, consulte "Sobre os conjuntos de regras" e "Exigir que os fluxos de trabalho passem antes da mesclagem".

Pré-requisitos

Você precisa adicionar o ação de revisão de dependência a um dos repositórios em sua organização e configurar a ação. Para obter mais informações, consulte "Configuração da ação de revisão de dependência".

Aplicando a revisão de dependência em uma organização

  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.

  2. Ao lado da organização, clique em Configurações.

  3. Na barra lateral esquerda, na seção "Código, planejamento e automação", clique em Repositório e em Conjuntos de regras.

    Captura de tela da página de configurações de uma organização. Na barra lateral, um link rotulado "Conjuntos de regras" está realçado em laranja.

  4. Clique em Novo conjunto de regras de branch.

  5. Defina o status de aplicação como Ativo.

  6. Opcionalmente, você pode direcionar repositórios específicos em sua organização. Para obter mais informações, consulte "Escolha de quais repositórios serão direcionados em sua organização".

  7. Na seção "Regras", selecione a opção "Exigir que os fluxos de trabalho sejam aprovados antes do merge".

  8. Em "Configurações de fluxo de trabalho", clique em Adicionar fluxo de trabalho.

  9. Na caixa de diálogo, selecione o repositório ao qual você adicionou o ação de revisão de dependência. Para obter mais informações, confira "Pré-requisitos".

  10. Selecione um branch e o arquivo de fluxo de trabalho para revisão de dependência na caixa de diálogo aprimorada.

    Captura de tela da caixa de diálogo Adicionar fluxo de trabalho necessário. Você precisa especificar um repositório, branch e fluxo de trabalho.

  11. Clique em Criar.